调用DescribeAlarmEventList接口获取安全告警处理页面的告警事件信息。告警事件分为告警与异常两个维度,一个告警事件包含多个异常事件。
调试
您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。
请求参数
名称 | 类型 | 是否必选 | 示例值 | 描述 |
---|---|---|---|---|
Action | String | 是 | DescribeAlarmEventList |
系统规定参数。取值:DescribeAlarmEventList。 |
CurrentPage | Integer | 是 | 1 |
分页查询时,显示的当前页的页码。起始值为1,默认值为1。 |
From | String | 是 | sas |
请求来源标识,固定为sas。 |
PageSize | String | 是 | 20 |
分页查询时,显示的每页数据的最大条数。默认值为20。 |
SourceIp | String | 否 | 1.2.3.4 |
访问源的IP地址。 |
Lang | String | 否 | zh |
请求和接收消息的语言类型。
|
Dealed | String | 否 | Y |
告警事件状态。
|
Levels | String | 否 | serious |
告警事件的危险等级,多个严重等级用逗号分隔(严重等级递减)。
|
Remark | String | 否 | database_server |
告警名称/资产信息。 |
GroupId | String | 否 | tst*** |
告警事件受影响资产的分组ID。 |
AlarmEventName | String | 否 | DDoS木马 |
告警事件名称。 |
AlarmEventType | String | 否 | 恶意进程(云查杀) |
告警事件类型。 |
OperateErrorCodeList.N | RepeatList | 否 | ignore. Success |
告警事件处理结果码。格式为:操作类型.操作结果码。 包括以下操作类型:
操作结果码:
|
返回数据
名称 | 类型 | 示例值 | 描述 |
---|---|---|---|
RequestId | String | 28267723-D857-4DD8-B295-013100000000 |
结果的请求ID。 |
SuspEvents | Array |
告警事件信息。 |
|
AlarmUniqueInfo | String | 8df914418f4211fbf756efe7a6f40cbc |
告警事件的唯一标识ID。 |
Solution | String | 请及时排查告警中提示的恶意URL,以及所下载的目录下的恶意文件,并及时清理已运行的恶意进程。如果该指令是您自己主动执行的,您可以在控制台点击标记为误报。 |
告警事件的处理方法。 |
Level | String | serious |
告警事件的危险等级。
|
CanBeDealOnLine | Boolean | true |
是否能在线处理告警事件,例如阻断隔离、加白名单、忽略等。
|
Description | String | 黑客入侵服务器后,为了让恶意后门程序能持久化运行,黑客常常将恶意SHELL脚本写入crontab、systemd等计划任务。 |
告警事件的描述。 |
StartTime | Long | 1543740301000 |
告警事件的开始时间。 |
EndTime | Long | 1543740301000 |
告警事件结束时间毫秒数。 |
AlarmEventType | String | 进程异常行为 |
告警事件类型。 |
SuspiciousEventCount | Integer | 1 |
关联的异常事件的条数。 |
Uuid | String | 47900178-885d-4fa4-9d77-*** |
关联实例的唯一标识。 |
InstanceName | String | 测试服务器 |
受影响资产实例的名称。 |
InternetIp | String | 1.2.3.4 |
受影响资产实例的公网IP。 |
IntranetIp | String | 1.2.3.5 |
受影响资产实例的私网IP。 |
AlarmEventName | String | 执行恶意命令 |
告警事件名称。 |
SaleVersion | String | 1 |
告警事件检测支持的售卖版本。
|
DataSource | String | aegis_*** |
数据来源。 |
CanCancelFault | Boolean | false |
能否取消标记为误报。 |
Dealed | Boolean | false |
告警是否已处理。
|
GmtModified | Long | 1569235879000 |
告警最新发生时间毫秒数。 |
HasTraceInfo | Boolean | true |
告警是否有溯源信息。
|
SecurityEventIds | String | 270789 |
关联异常的ID。 |
OperateErrorCode | String | kill_and_quara.Success |
告警处理结果码。 |
AlarmEventNameOriginal | String | 恶意命令执行精准防御 |
告警事件原始父名称。 |
InstanceId | String | i-e*** |
受影响资产实例ID。 |
PageInfo | Struct |
页面显示信息。 |
|
Count | Integer | 1 |
分页查询时,显示的当前页的数据条数。 |
PageSize | Integer | 20 |
分页查询时,显示的每页数据的最大条数。 |
TotalCount | Integer | 1 |
告警事件的总条数。 |
CurrentPage | Integer | 1 |
分页查询时,显示的当前页的页码。 |
示例
请求示例
http(s)://[Endpoint]/?Action=DescribeAlarmEventList
&CurrentPage=1
&From=sas
&PageSize=20
&<公共请求参数>
正常返回示例
XML
格式
<DescribeAlarmEventList>
<RequestId>1D7FB2DD-4B80-41F4-94CF-C484EF6A5CAC</RequestId>
<PageInfo>
<Count>1</Count>
<TotalCount>58</TotalCount>
<PageSize>1</PageSize>
<CurrentPage>1</CurrentPage>
</PageInfo>
<SuspEvents>
<Uuid>c4678332-ef35-4ad4-8358-681ebbc0ccab</Uuid>
<Dealed>true</Dealed>
<SecurityEventIds>261401</SecurityEventIds>
<Description>云查杀扫描(挖矿程序)</Description>
<CanCancelFault>false</CanCancelFault>
<InstanceId>i-bp***</InstanceId>
<OperateErrorCode></OperateErrorCode>
<InternetIp>1.2.3.5</InternetIp>
<GmtModified>1572524936000</GmtModified>
<SuspiciousEventCount>1</SuspiciousEventCount>
<HasTraceInfo>false</HasTraceInfo>
<AlarmUniqueInfo>8b59e7bd134797758709983c26ece2a2</AlarmUniqueInfo>
<AlarmEventName>挖矿程序</AlarmEventName>
<AlarmEventType>精准防御</AlarmEventType>
<IntranetIp>1.2.3.4</IntranetIp>
<Level>serious</Level>
<EndTime>1572524936000</EndTime>
<StartTime>1572524936000</StartTime>
<AlarmEventNameOriginal>挖矿程序精准防御</AlarmEventNameOriginal>
<SaleVersion>0</SaleVersion>
<CanBeDealOnLine>false</CanBeDealOnLine>
<InstanceName>cit***</InstanceName>
</SuspEvents>
</DescribeAlarmEventList>
JSON
格式
{
"RequestId": "1D7FB2DD-4B80-41F4-94CF-C484EF6A5CAC",
"PageInfo": {
"Count": 1,
"TotalCount": 58,
"PageSize": 1,
"CurrentPage": 1
},
"SuspEvents": [
{
"Uuid": "c4678332-ef35-4ad4-8358-681ebbc0ccab",
"Dealed": true,
"SecurityEventIds": "261401",
"Description": "云查杀扫描(挖矿程序)",
"CanCancelFault": false,
"InstanceId": "i-bp***",
"OperateErrorCode": "",
"InternetIp": "1.2.3.5",
"GmtModified": 1572524936000,
"SuspiciousEventCount": 1,
"HasTraceInfo": false,
"AlarmUniqueInfo": "8b59e7bd134797758709983c26ece2a2",
"AlarmEventName": "挖矿程序",
"AlarmEventType": "精准防御",
"IntranetIp": "1.2.3.4",
"Level": "serious",
"EndTime": 1572524936000,
"StartTime": 1572524936000,
"AlarmEventNameOriginal": "挖矿程序精准防御",
"SaleVersion": "0",
"CanBeDealOnLine": false,
"InstanceName": "cit***"
}
]
}
错误码
访问错误中心查看更多错误码。
在文档使用中是否遇到以下问题
更多建议
匿名提交